Quando compili la sezione gkeConnect nel file di configurazione del cluster di amministrazione, il cluster viene registrato nel tuo parco risorse durante la creazione o l'aggiornamento. Per abilitare la funzionalità di gestione del parco risorse, Google Cloud esegue il deployment dell'agente Connect e crea un account di servizio Google che rappresenta il progetto in cui è registrato il cluster.
L'agente Connect stabilisce una connessione con l'account di servizio per gestire le richieste al server API Kubernetes del cluster. Ciò consente l'accesso alle funzionalità di gestione dei cluster e dei carichi di lavoro in Google Cloud, compreso l'accesso alla console Google Cloud, che consente di interagire con il cluster.
Il server API Kubernetes del cluster di amministrazione deve essere in grado di autorizzare le richieste dell'agente Connect. A questo scopo, nell'account di servizio sono configurati i seguenti criteri di controllo dell'accesso basato sui ruoli (RBAC):
Un criterio relativo al furto d'identità che autorizza l'agente Connect a inviare richieste al server API Kubernetes per conto dell'account di servizio.
Un criterio di autorizzazione che specifica le operazioni consentite su altre risorse Kubernetes.
L'account di servizio e i criteri RBAC sono necessari per gestire il ciclo di vita dei cluster utente nella console Google Cloud.